香港文匯報訊(記者 蕭景源 )公司註冊處去年5月通報涉及近11萬人個人資料外洩事故,私隱專員公署今日(12日)公布調查結果,指相關個人資料非直接顯示在查冊結果頁面上,並無證據顯示個人資料遭不當查閱;另公司註冊處翻新系統時,已採取一系列保安措施,認為沒有足夠證據顯示違反《私隱條例》。
事故始於2023年12月27日,公司註冊處推出全面翻新的「公司註冊處綜合資訊系統」及其「電子服務網站」;至2024年4月18日進行例行工作時,發現「電子服務網站」內的電子查冊系統,除提供查冊相關資料外,查冊者可透過瀏覽器的「開發者工具」,搜尋輸入部份個人資料如身份證號碼,可以尋找到額外的個人資料,查冊者亦可以透過編寫程式獲得資料,涉近11萬人可能受影響。公司註冊處於2024年5月3日公布事故,私隱專員公署即時展開調查。
私隱專員公署今日公布調查報告,公署向公司註冊處查訊4次,兩度去信要求負責翻新的承辦商提供資料,又審視處方超過1,500頁文件。調查發現,設計系統時採用常用模組(common module),未有移除部分數據字段(data field),導致額外個人資料被傳輸到查冊者的電腦,情況由2023年12月27日推出翻新系統起出現。事件中,外洩潛在影響人士包括10.86萬名公司董事的香港身份證號碼、護照號碼及/或通常住址;217名被取消資格人士、放債人牌照申請人及持牌放債人委任的第三方的香港身份證號碼及/或護照號碼,以及210名持牌放債人聯絡人的姓名、電話號碼及/或電郵地址。
私隱專員公署調查顯示,近九成可能外泄的資料,仍可從已登記文件中經查冊服務查閱,無證據顯示涉事的個人資料,曾被意外或未獲准許查閲;而公司註冊處翻新系統時,採取一系列保安措施,並無足夠證據顯示處方沒採取所有切實可行的步驟,保障所持有的個人資料,因此認為沒有違反《私隱條例》。公署建議,公司註冊處定期及全面檢視系統,確保沒有其他系統設計及安全漏洞。
